Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta strona jest indeksem Azure Policy wbudowanych definicji zasad dla Azure App Service. Aby uzyskać dodatkowe wbudowane Azure Policy dla innych usług, zobacz Azure Policy wbudowane definicje.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w portalu Azure. Użyj linku w kolumnie Version aby wyświetlić źródło w repozytorium Azure Policy GitHub.
Azure App Service
| Nazwa (portal Azure) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Plany usługi App Service powinny być strefowo nadmiarowe | Plany usługi App Service można skonfigurować tak, aby był strefowo nadmiarowy lub nie. Gdy właściwość "zoneRedundant" jest ustawiona na wartość "false" dla planu usługi App Service, nie jest skonfigurowana dla nadmiarowości strefy. Te zasady identyfikują i wymuszają konfigurację nadmiarowości strefy dla planów usługi App Service. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| Miejsca aplikacji App Service powinny być włączane do sieci wirtualnej | Wstrzykiwanie aplikacji usługi App Service w sieci wirtualnej umożliwia odblokowanie zaawansowanych funkcji sieciowych i zabezpieczeń usługi App Service oraz zapewnia większą kontrolę nad konfiguracją zabezpieczeń sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Inspekcja, Odmowa, Wyłączone | 1.2.0 |
| Miejsca aplikacji usługi App Service powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa App Service nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie na działanie usługi App Service. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Miejsca aplikacji usługi App Service powinny wyłączyć protokół SSH | Azure App Service umożliwia otwarcie sesji SSH w kontenerze uruchomionym w usłudze. Ta funkcja powinna być wyłączona, aby upewnić się, że protokół SSH nie jest przypadkowo otwarty w aplikacjach usługi App Service, co zmniejsza ryzyko nieautoryzowanego dostępu. Dowiedz się więcej na stronie: https://aka.ms/app-service-ssh | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Miejsca aplikacji usługiApp Service powinny włączyć routing konfiguracji do Azure Virtual Network | Domyślnie ruch konfiguracji (ściąganie obrazu, udział zawartości, tworzenie kopii zapasowej/przywracanie) nie jest kierowany przez regionalną integrację z siecią wirtualną. W przypadku interfejsu API < 2024-11-01 ustaw wartość "vnetImagePullEnabled", "vnetContentShareEnabled", "vnetBackupRestoreEnabled". W przypadku interfejsu API >= 2024-11-01 ustaw odpowiednie właściwości "outboundVnetRouting" lub "outboundVnetRouting.allTraffic" na wartość true. Dowiedz się więcej: https://aka.ms/appservice-vnet-configuration-routing. | Inspekcja, Odmowa, Wyłączone | 1.2.0 |
| Sloty aplikacji usługi App Service powinny włączyć szyfrowanie typu end-to-end | Włączenie szyfrowania end-to-end gwarantuje, że ruch wewnątrz klastra między front-endami usługi App Service a procesami roboczymi, które obsługują obciążenia aplikacji, jest szyfrowany. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Miejsca aplikacji usługiApp Service powinny włączyć routing ruchu wychodzącego aplikacji do Azure Virtual Network | Domyślnie regionalna integracja z siecią wirtualną kieruje tylko RFC1918 ruchu. Ustaw wartość "vnetRouteAllEnabled" (INTERFEJS API 2024-11-01) lub "outboundVnetRouting.applicationTraffic" (INTERFEJS API <>= 2024-11-01), aby kierować ruch aplikacji za pośrednictwem sieci wirtualnej. Alternatywnie ustaw wartość "outboundVnetRouting.allTraffic", aby kierować cały ruch. Ruch konfiguracji jest obsługiwany oddzielnie przez zasady routingu konfiguracji. | Inspekcja, Odmowa, Wyłączone | 1.2.0 |
| Miejsca aplikacji usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny mieć wyłączone lokalne metody uwierzytelniania dla wdrożeń FTP | Wyłączenie lokalnych metod uwierzytelniania dla wdrożeń FTP zwiększa bezpieczeństwo, zapewniając, że miejsca usługi App Service wymagają wyłącznie Microsoft Entra tożsamości na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | AudytJeśliNieIstnieje, Wyłączony | 1.0.3 |
| Miejsca aplikacji usługi App Service powinny mieć wyłączone lokalne metody uwierzytelniania dla wdrożeń lokacji programu SCM | Wyłączenie lokalnych metod uwierzytelniania dla lokacji SCM zwiększa bezpieczeństwo, zapewniając, że miejsca usługi App Service wymagają wyłącznie Microsoft Entra tożsamości na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | AudytJeśliNieIstnieje, Wyłączony | 1.0.4 |
| Miejsca aplikacji usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Sloty aplikacji w usłudze App Service powinny mieć włączone dzienniki zasobów | Audyt włączenia dzienników zasobów na aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Miejsca aplikacji usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Mechanizm CORS (ang. Cross-Origin Resource Sharing) nie powinien zezwalać wszystkim domenom na uzyskanie dostępu do Twojej aplikacji. Zezwalaj tylko wymaganym domenom na interakcję z twoją aplikacją. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Audyt, Wyłączony, Odmowa dostępu | 2.0.0 |
| Miejsca aplikacji usługi App Service powinny zawierać automatycznie wygenerowany zakres etykiety nazwy domeny | Zapewnienie automatycznie wygenerowanego zakresu etykiety nazwy domeny dla aplikacji gwarantuje, że dostęp do aplikacji będzie można uzyskać za pośrednictwem unikatowego adresu URL. Aby uzyskać więcej informacji, zobacz https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Audyt, Wyłączony, Odmowa dostępu | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Miejsca aplikacji usługiApp Service powinny używać udziału plików Azure dla katalogu zawartości | Katalog zawartości aplikacji powinien znajdować się w Azure udziale plików. Informacje o koncie magazynu dla udziału plików muszą zostać podane przed jakimkolwiek działaniem publikowania. Aby dowiedzieć się więcej na temat używania Azure Files do hostowania zawartości usługi App Service, zobacz https://go.microsoft.com/fwlink/?linkid=2151594. | Inspekcja, wyłączone | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AudytJeśliNieIstnieje, Wyłączony | 1.2.0 |
| Miejsca aplikacji usługiApp Service używające Java powinny używać określonego Java wersji | Okresowo nowsze wersje są wydawane dla oprogramowania Java ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji Java dla aplikacji usługi App Service jest zalecane w celu korzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia Java wersji spełniającej wymagania. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Miejsca aplikacji usługi App Service korzystające z języka PHP powinny używać określonej wersji języka PHP | Okresowo nowsze wersje są wydawane dla oprogramowania PHP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka PHP dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji PHP spełniającej wymagania. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Miejsca aplikacji usługiApp Service korzystające z Python powinny używać określonej Python wersji | Okresowo nowsze wersje są wydawane dla Python oprogramowania ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji Python dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia Python wersji spełniającej wymagania. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Aplikacje usługi App Service powinny być wstrzykiwane do sieci wirtualnej | Wstrzykiwanie aplikacji usługi App Service w sieci wirtualnej umożliwia odblokowanie zaawansowanych funkcji sieciowych i zabezpieczeń usługi App Service oraz zapewnia większą kontrolę nad konfiguracją zabezpieczeń sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Inspekcja, Odmowa, Wyłączone | 3.2.0 |
| Aplikacje usługi App Service powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa App Service nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie na działanie usługi App Service. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Inspekcja, Odmowa, Wyłączone | 1.2.0 |
| Aplikacje usługi App Service powinny wyłączyć protokół SSH | Azure App Service umożliwia otwarcie sesji SSH w kontenerze uruchomionym w usłudze. Ta funkcja powinna być wyłączona, aby upewnić się, że protokół SSH nie jest przypadkowo otwarty w aplikacjach usługi App Service, co zmniejsza ryzyko nieautoryzowanego dostępu. Dowiedz się więcej na stronie: https://aka.ms/app-service-ssh | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| aplikacje usługi App Service powinny włączyć routing konfiguracji do Azure Virtual Network | Domyślnie ruch konfiguracji (ściąganie obrazu, udział zawartości, tworzenie kopii zapasowej/przywracanie) nie jest kierowany przez regionalną integrację z siecią wirtualną. W przypadku interfejsu API < 2024-11-01 ustaw wartość "vnetImagePullEnabled", "vnetContentShareEnabled", "vnetBackupRestoreEnabled". W przypadku interfejsu API >= 2024-11-01 ustaw odpowiednie właściwości "outboundVnetRouting" lub "outboundVnetRouting.allTraffic" na wartość true. Dowiedz się więcej: https://aka.ms/appservice-vnet-configuration-routing. | Inspekcja, Odmowa, Wyłączone | 1.2.0 |
| Aplikacje usługi App Service powinny włączyć kompleksowe szyfrowanie | Włączenie szyfrowania end-to-end gwarantuje, że ruch wewnątrz klastra między front-endami usługi App Service a procesami roboczymi, które obsługują obciążenia aplikacji, jest szyfrowany. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Aplikowanie usługiApp Service powinno włączyć routing ruchu wychodzącego aplikacji do Azure Virtual Network | Domyślnie regionalna integracja z siecią wirtualną kieruje tylko RFC1918 ruchu. Ustaw wartość "vnetRouteAllEnabled" (INTERFEJS API 2024-11-01) lub "outboundVnetRouting.applicationTraffic" (INTERFEJS API <>= 2024-11-01), aby kierować ruch aplikacji za pośrednictwem sieci wirtualnej. Alternatywnie ustaw wartość "outboundVnetRouting.allTraffic", aby kierować cały ruch. Ruch konfiguracji jest obsługiwany oddzielnie przez zasady routingu konfiguracji. | Inspekcja, Odmowa, Wyłączone | 1.2.0 |
| Aplikacje usługi App Service powinny mieć włączone uwierzytelnianie | Azure App Service Authentication to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji internetowej lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji internetowej. | AudytJeśliNieIstnieje, Wyłączony | 2.0.1 |
| Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Aplikacje usługi App Service powinny mieć wyłączone lokalne metody uwierzytelniania dla wdrożeń FTP | Wyłączenie lokalnych metod uwierzytelniania dla wdrożeń FTP zwiększa bezpieczeństwo, zapewniając, że usługi App Services wymagają wyłącznie Microsoft Entra tożsamości na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | AudytJeśliNieIstnieje, Wyłączony | 1.0.3 |
| Aplikacje usługi App Service powinny mieć wyłączone lokalne metody uwierzytelniania dla wdrożeń lokacji programu SCM | Wyłączenie lokalnych metod uwierzytelniania dla lokacji SCM zwiększa bezpieczeństwo, zapewniając, że usługi App Services wymagają wyłącznie Microsoft Entra tożsamości na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | AudytJeśliNieIstnieje, Wyłączony | 1.0.3 |
| Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AudytJeśliNieIstnieje, Wyłączony | 2.0.0 |
| Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Audyt włączenia dzienników zasobów na aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AudytJeśliNieIstnieje, Wyłączony | 2.0.1 |
| Aplikacje usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Mechanizm CORS (ang. Cross-Origin Resource Sharing) nie powinien zezwalać wszystkim domenom na uzyskanie dostępu do Twojej aplikacji. Zezwalaj tylko wymaganym domenom na interakcję z twoją aplikacją. | AudytJeśliNieIstnieje, Wyłączony | 2.0.0 |
| Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Audyt, Wyłączony, Odmowa dostępu | 4.0.0 |
| Aplikacje usługi App Service powinny zapewnić automatycznie wygenerowany zakres etykiety nazwy domeny | Zapewnienie automatycznie wygenerowanego zakresu etykiety nazwy domeny dla aplikacji gwarantuje, że dostęp do aplikacji będzie można uzyskać za pośrednictwem unikatowego adresu URL. Aby uzyskać więcej informacji, zobacz https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Audyt, Wyłączony, Odmowa dostępu | 1.0.0 |
| Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Aplikacje usługi App Service powinny używać jednostki SKU obsługującej link prywatny | W przypadku obsługiwanych jednostek SKU Azure Private Link umożliwia łączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe na aplikacje, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/private-link. | Inspekcja, Odmowa, Wyłączone | 4.3.0 |
| Aplikacje usługi App Service powinny używać punktu końcowego usługi sieci wirtualnej | Użyj punktów końcowych usługi sieci wirtualnej, aby ograniczyć dostęp do aplikacji z wybranych podsieci z sieci wirtualnej Azure. Aby dowiedzieć się więcej o punktach końcowych usługi App Service, odwiedź stronę https://aka.ms/appservice-vnet-service-endpoint. | AudytJeśliNieIstnieje, Wyłączony | 2.0.1 |
| App Service aplikacje powinny używać udziału plików Azure dla katalogu zawartości | Katalog zawartości aplikacji powinien znajdować się w Azure udziale plików. Informacje o koncie magazynu dla udziału plików muszą zostać podane przed jakimkolwiek działaniem publikowania. Aby dowiedzieć się więcej na temat używania Azure Files do hostowania zawartości usługi App Service, zobacz https://go.microsoft.com/fwlink/?linkid=2151594. | Inspekcja, wyłączone | 3.0.0 |
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AudytJeśliNieIstnieje, Wyłączony | 4.0.0 |
| Aplikacje usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Aplikacje usługi App Service powinny używać linku prywatnego | Azure Private Link umożliwia łączenie sieci wirtualnych z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe na usługę App Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/private-link. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AudytJeśliNieIstnieje, Wyłączony | 2.2.0 |
| Okresowo nowsze wersje są wydawane dla oprogramowania Java ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji Java dla aplikacji usługi App Service jest zalecane w celu korzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia Java wersji spełniającej wymagania. | AudytJeśliNieIstnieje, Wyłączony | 3.1.0 | |
| Aplikacje usługi App Service korzystające z języka PHP powinny używać określonej wersji języka PHP | Okresowo nowsze wersje są wydawane dla oprogramowania PHP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka PHP dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji PHP spełniającej wymagania. | AudytJeśliNieIstnieje, Wyłączony | 3.2.0 |
| Okresowo nowsze wersje są wydawane dla Python oprogramowania ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji Python dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia Python wersji spełniającej wymagania. | AudytJeśliNieIstnieje, Wyłączony | 4.1.0 | |
| App Service Environment aplikacje nie powinny być dostępne za pośrednictwem publicznego Internetu | Aby zapewnić, że aplikacje wdrożone w App Service Environment nie są dostępne za pośrednictwem publicznego Internetu, należy wdrożyć App Service Environment z adresem IP w sieci wirtualnej. Aby ustawić adres IP na adres IP sieci wirtualnej, należy wdrożyć App Service Environment z wewnętrznym modułem równoważenia obciążenia. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| App Service Environment należy skonfigurować z najsilniejszymi zestawami szyfrowania TLS | Dwa najbardziej minimalne i najsilniejsze zestawy szyfrowania wymagane do poprawnego działania App Service Environment to: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 i TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Inspekcja, wyłączone | 1.0.0 |
| App Service Environment powinien mieć włączone szyfrowanie wewnętrzne | Ustawienie wartości InternalEncryption na wartość true powoduje szyfrowanie pliku stronicowania, dysków procesów roboczych i wewnętrznego ruchu sieciowego między frontonami a procesami roboczymi w App Service Environment. Aby dowiedzieć się więcej, zobacz https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Inspekcja, wyłączone | 1.0.1 |
| App Service Environment powinny być wyłączone protokoły TLS 1.0 i 1.1 | Protokoły TLS 1.0 i 1.1 są nieaktualne, które nie obsługują nowoczesnych algorytmów kryptograficznych. Wyłączenie przychodzącego ruchu TLS 1.0 i 1.1 pomaga zabezpieczyć aplikacje w App Service Environment. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Konfigurowanie miejsc aplikacji usługi App Service w celu wyłączenia uwierzytelniania lokalnego dla wdrożeń FTP | Wyłączenie lokalnych metod uwierzytelniania dla wdrożeń FTP zwiększa bezpieczeństwo, zapewniając, że miejsca usługi App Service wymagają wyłącznie Microsoft Entra tożsamości na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Wyłączone | 1.0.3 |
| Konfigurowanie miejsc aplikacji usługi App Service w celu wyłączenia uwierzytelniania lokalnego dla witryn SCM | Wyłączenie lokalnych metod uwierzytelniania dla lokacji SCM zwiększa bezpieczeństwo, zapewniając, że miejsca usługi App Service wymagają wyłącznie Microsoft Entra tożsamości na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Wyłączone | 1.0.3 |
| Konfigurowanie miejsc aplikacji usługi App Service w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla usług App Services, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Modyfikuj, Wyłączone | 1.2.0 |
| Konfigurowanie miejsc aplikacji usługi App Service tak, aby były dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Modyfikuj, Wyłączone | 2.0.0 |
| Konfigurowanie miejsc aplikacji usługi App Service w celu wyłączenia zdalnego debugowania | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | DeployIfNotExists, Wyłączone | 1.1.0 |
| Konfigurowanie miejsc aplikacji usługi App Service do korzystania z najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | DeployIfNotExists, Wyłączone | 1.3.0 |
| Konfigurowanie aplikacji usługi App Service w celu wyłączenia uwierzytelniania lokalnego dla wdrożeń FTP | Wyłączenie lokalnych metod uwierzytelniania dla wdrożeń FTP zwiększa bezpieczeństwo, zapewniając, że usługi App Services wymagają wyłącznie Microsoft Entra tożsamości na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Wyłączone | 1.0.3 |
| Konfigurowanie aplikacji usługi App Service w celu wyłączenia uwierzytelniania lokalnego dla witryn SCM | Wyłączenie lokalnych metod uwierzytelniania dla lokacji SCM zwiększa bezpieczeństwo, zapewniając, że usługi App Services wymagają wyłącznie Microsoft Entra tożsamości na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Wyłączone | 1.0.3 |
| Konfigurowanie aplikacji usługi App Service w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla usług App Services, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Modyfikuj, Wyłączone | 1.2.0 |
| Konfigurowanie aplikacji usługi App Service tak, aby były dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Modyfikuj, Wyłączone | 2.0.0 |
| Konfigurowanie aplikacji usługi App Service w celu wyłączenia zdalnego debugowania | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Konfigurowanie aplikacji usługi App Service do korzystania z najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | DeployIfNotExists, Wyłączone | 1.2.0 |
| Konfigurowanie miejsc aplikacji funkcji w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla aplikacji funkcji, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Modyfikuj, Wyłączone | 1.3.0 |
| Konfigurowanie miejsc aplikacji funkcji tak, aby były dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Modyfikuj, Wyłączone | 2.1.0 |
| Konfigurowanie miejsc aplikacji funkcji w celu wyłączenia zdalnego debugowania | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacji funkcji. Zdalne debugowanie powinno być wyłączone. | DeployIfNotExists, Wyłączone | 1.2.0 |
| Konfigurowanie miejsc aplikacji funkcji do korzystania z najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Zaktualizuj do najnowszej wersji protokołu TLS dla aplikacji Function, aby skorzystać z poprawek zabezpieczeń, jeśli takie istnieją, oraz/lub nowych funkcjonalności najnowszej wersji. | DeployIfNotExists, Wyłączone | 1.4.0 |
| Konfigurowanie aplikacji funkcji w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla aplikacji funkcji, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Modyfikuj, Wyłączone | 1.3.0 |
| Konfigurowanie aplikacji funkcji tak, aby były dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Modyfikuj, Wyłączone | 2.1.0 |
| Konfigurowanie aplikacji funkcji w celu wyłączenia zdalnego debugowania | Zdalne debugowanie wymaga otwarcia portów przychodzących na aplikacjach typu Function. Zdalne debugowanie powinno być wyłączone. | DeployIfNotExists, Wyłączone | 1.1.0 |
| Konfigurowanie aplikacji funkcji do korzystania z najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Zaktualizuj do najnowszej wersji protokołu TLS dla aplikacji Function, aby skorzystać z poprawek zabezpieczeń, jeśli takie istnieją, oraz/lub nowych funkcjonalności najnowszej wersji. | DeployIfNotExists, Wyłączone | 1.3.0 |
| Włączanie rejestrowania według grupy kategorii dla usługi App Service (microsoft.web/sites) do Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego Log Analytics dla usługi App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla środowisk App Service Environment (microsoft.web/hostingenvironments) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla środowisk App Service Environment (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.0.0 |
| Wylogowywanie według grupy kategorii dla środowisk App Service Environment (microsoft.web/hostingenvironments) do Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego Log Analytics dla środowisk App Service Environment (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla środowisk App Service Environment (microsoft.web/hostingenvironments) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla środowisk App Service Environment (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla aplikacji funkcji (microsoft.web/sites) do Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego Log Analytics dla aplikacji funkcji (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Wyłączone | 1.0.0 |
| Miejsca aplikacji funkcji powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że aplikacja funkcji nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie aplikacji funkcji. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Inspekcja, Odmowa, Wyłączone | 1.2.0 |
| Funkcje aplikacji powinny włączyć routing konfiguracji do Azure Virtual Network | Domyślnie ruch konfiguracji (ściąganie obrazu, udział zawartości, tworzenie kopii zapasowej/przywracanie) nie jest kierowany przez regionalną integrację z siecią wirtualną. W przypadku interfejsu API < 2024-11-01 ustaw wartość "vnetImagePullEnabled", "vnetContentShareEnabled", "vnetBackupRestoreEnabled". W przypadku interfejsu API >= 2024-11-01 ustaw odpowiednie właściwości "outboundVnetRouting" lub "outboundVnetRouting.allTraffic" na wartość true. Nie dotyczy planów Flex/Consumption. Dowiedz się więcej: https://aka.ms/appservice-vnet-configuration-routing. | Inspekcja, Odmowa, Wyłączone | 1.3.0 |
| Sloty aplikacji funkcji powinny włączyć szyfrowanie od końca do końca | Włączenie szyfrowania end-to-end gwarantuje, że ruch wewnątrz klastra między front-endami usługi App Service a procesami roboczymi, które obsługują obciążenia aplikacji, jest szyfrowany. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Funkcje aplikacji powinny włączyć routing ruchu wychodzącego aplikacji do Azure Virtual Network | Domyślnie regionalna integracja z siecią wirtualną kieruje tylko RFC1918 ruchu. Ustaw wartość "vnetRouteAllEnabled" (INTERFEJS API 2024-11-01) lub "outboundVnetRouting.applicationTraffic" (INTERFEJS API <>= 2024-11-01), aby kierować ruch aplikacji za pośrednictwem sieci wirtualnej. Alternatywnie ustaw wartość "outboundVnetRouting.allTraffic", aby kierować cały ruch. Ruch konfiguracji jest obsługiwany oddzielnie przez zasady routingu konfiguracji. Nie dotyczy planów Flex/Consumption. | Inspekcja, Odmowa, Wyłączone | 1.3.0 |
| Miejsca aplikacji funkcji powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AudytJeśliNieIstnieje, Wyłączony | 1.1.0 |
| Miejsca aplikacji funkcji powinny być wyłączone zdalnego debugowania | Zdalne debugowanie wymaga otwarcia portów przychodzących na aplikacjach typu Function. Zdalne debugowanie powinno być wyłączone. | AudytJeśliNieIstnieje, Wyłączony | 1.1.0 |
| Miejsca aplikacji funkcji nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji Function. Zezwalaj tylko wymaganym domenom na interakcję z Twoją aplikacją funkcjonalną. | AudytJeśliNieIstnieje, Wyłączony | 1.1.0 |
| Miejsca aplikacji funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Audyt, Wyłączony, Odmowa dostępu | 2.1.0 |
| Miejsca aplikacji funkcji powinny zawierać zakres etykiet nazwy domeny wygenerowany automatycznie | Zapewnienie automatycznie wygenerowanego zakresu etykiety nazwy domeny dla aplikacji gwarantuje, że dostęp do aplikacji będzie można uzyskać za pośrednictwem unikatowego adresu URL. Aby uzyskać więcej informacji, zobacz https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Audyt, Wyłączony, Odmowa dostępu | 1.1.0 |
| Miejsca aplikacji funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AudytJeśliNieIstnieje, Wyłączony | 1.1.0 |
| Użytkowanie aplikacji funkcji powinno używać udziału plików Azure dla katalogu zawartości | Katalog zawartości aplikacji funkcji powinien znajdować się w udziale plików Azure. Informacje o koncie magazynu dla udziału plików muszą zostać podane przed jakimkolwiek działaniem publikowania. Aby dowiedzieć się więcej na temat używania Azure Files do hostowania zawartości usługi App Service, zobacz https://go.microsoft.com/fwlink/?linkid=2151594. | Inspekcja, wyłączone | 1.1.0 |
| Sloty aplikacji funkcji powinny używać najnowszej wersji HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AudytJeśliNieIstnieje, Wyłączony | 1.1.0 |
| Miejsca aplikacji funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Zaktualizuj do najnowszej wersji protokołu TLS dla aplikacji Function, aby skorzystać z poprawek zabezpieczeń, jeśli takie istnieją, oraz/lub nowych funkcjonalności najnowszej wersji. | AudytJeśliNieIstnieje, Wyłączony | 1.3.0 |
| Funkcje aplikacji używające Java powinny używać określonej wersji Java | Okresowo nowsze wersje są wydawane dla oprogramowania Java ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji Java dla aplikacji funkcji jest zalecane w celu korzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia Java wersji spełniającej wymagania. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Funkcje aplikacji używające Python powinny używać określonego Python wersji | Okresowo nowsze wersje są wydawane dla Python oprogramowania ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji Python dla aplikacji funkcji jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia Python wersji spełniającej wymagania. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Aplikacje funkcji powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że aplikacja funkcji nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie aplikacji funkcji. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Inspekcja, Odmowa, Wyłączone | 1.2.0 |
| aplikacje Function powinny włączyć routing konfiguracji do Azure Virtual Network | Domyślnie ruch konfiguracji (ściąganie obrazu, udział zawartości, tworzenie kopii zapasowej/przywracanie) nie jest kierowany przez regionalną integrację z siecią wirtualną. W przypadku interfejsu API < 2024-11-01 ustaw wartość "vnetImagePullEnabled", "vnetContentShareEnabled", "vnetBackupRestoreEnabled". W przypadku interfejsu API >= 2024-11-01 ustaw odpowiednie właściwości "outboundVnetRouting" lub "outboundVnetRouting.allTraffic" na wartość true. Nie dotyczy planów Flex/Consumption. Dowiedz się więcej: https://aka.ms/appservice-vnet-configuration-routing. | Inspekcja, Odmowa, Wyłączone | 1.3.0 |
| Aplikacje funkcji powinny włączyć kompleksowe szyfrowanie | Włączenie szyfrowania end-to-end gwarantuje, że ruch wewnątrz klastra między front-endami usługi App Service a procesami roboczymi, które obsługują obciążenia aplikacji, jest szyfrowany. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| aplikacje Function powinny włączyć routing ruchu wychodzącego aplikacji do Azure Virtual Network | Domyślnie regionalna integracja z siecią wirtualną kieruje tylko RFC1918 ruchu. Ustaw wartość "vnetRouteAllEnabled" (INTERFEJS API 2024-11-01) lub "outboundVnetRouting.applicationTraffic" (INTERFEJS API <>= 2024-11-01), aby kierować ruch aplikacji za pośrednictwem sieci wirtualnej. Alternatywnie ustaw wartość "outboundVnetRouting.allTraffic", aby kierować cały ruch. Ruch konfiguracji jest obsługiwany oddzielnie przez zasady routingu konfiguracji. Nie dotyczy planów Flex/Consumption. | Inspekcja, Odmowa, Wyłączone | 1.3.0 |
| Aplikacje funkcji powinny mieć włączone uwierzytelnianie | Azure App Service Authentication to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji funkcji lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji funkcji. | AudytJeśliNieIstnieje, Wyłączony | 3.1.0 |
| Aplikacje funkcji powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AudytJeśliNieIstnieje, Wyłączony | 1.1.0 |
| Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących na aplikacjach typu Function. Zdalne debugowanie powinno być wyłączone. | AudytJeśliNieIstnieje, Wyłączony | 2.1.0 |
| Aplikacje funkcji nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji Function. Zezwalaj tylko wymaganym domenom na interakcję z Twoją aplikacją funkcjonalną. | AudytJeśliNieIstnieje, Wyłączony | 2.1.0 |
| Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Audyt, Wyłączony, Odmowa dostępu | 5.1.0 |
| Aplikacje funkcji powinny zapewnić automatycznie wygenerowany zakres etykiety nazwy domeny | Zapewnienie automatycznie wygenerowanego zakresu etykiety nazwy domeny dla aplikacji gwarantuje, że dostęp do aplikacji będzie można uzyskać za pośrednictwem unikatowego adresu URL. Aby uzyskać więcej informacji, zobacz https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Audyt, Wyłączony, Odmowa dostępu | 1.1.0 |
| Aplikacje funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AudytJeśliNieIstnieje, Wyłączony | 3.1.0 |
| aplikacje Function powinny używać udziału plików Azure dla katalogu zawartości | Katalog zawartości aplikacji funkcji powinien znajdować się w udziale plików Azure. Informacje o koncie magazynu dla udziału plików muszą zostać podane przed jakimkolwiek działaniem publikowania. Aby dowiedzieć się więcej na temat używania Azure Files do hostowania zawartości usługi App Service, zobacz https://go.microsoft.com/fwlink/?linkid=2151594. | Inspekcja, wyłączone | 3.1.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AudytJeśliNieIstnieje, Wyłączony | 4.1.0 |
| Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AudytJeśliNieIstnieje, Wyłączony | 3.1.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Zaktualizuj do najnowszej wersji protokołu TLS dla aplikacji Function, aby skorzystać z poprawek zabezpieczeń, jeśli takie istnieją, oraz/lub nowych funkcjonalności najnowszej wersji. | AudytJeśliNieIstnieje, Wyłączony | 2.3.0 |
| Okresowo nowsze wersje są wydawane dla oprogramowania Java ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji Java dla aplikacji funkcji jest zalecane w celu korzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia Java wersji spełniającej wymagania. | AudytJeśliNieIstnieje, Wyłączony | 3.1.0 | |
| Okresowo nowsze wersje są wydawane dla Python oprogramowania ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji Python dla aplikacji funkcji jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia Python wersji spełniającej wymagania. | AudytJeśliNieIstnieje, Wyłączony | 4.1.0 |
Dalsze kroki
- Zobacz wbudowane repozytorium Azure Policy GitHub.
- Przejrzyj strukturę definicji Azure Policy.
- Przejrzyj Zrozumienie skutków polityki.